Автономные центры сертификации могут выдавать сертификаты специального назначения, например для цифровых подписей, безопасной электронной почты с использованием S/MIME и авторизации на безопасных веб-серверах с помощью протоколов SSL или TLS.
Автономный центр сертификации обладает указанными ниже характеристиками:
- В отличие от центра сертификации предприятия
автономный центр сертификации не нуждается в использовании доменных
служб Active Directory. Даже при использовании доменных служб
Active Directory автономные центры сертификации могут применяться в
качестве автономных корневых доверенных центров сертификации в
иерархии центров сертификации или использоваться для выдачи
сертификатов клиентам по экстрасети или Интернету.
- При подаче заявки на сертификат в автономный
центр сертификации пользователи должны предоставить сведения для
проверки подлинности и указать тип необходимого сертификата. (Этого
можно не делать при отправке запроса в центр сертификации
предприятия, потому что сведения о пользователе предприятия уже
содержатся в доменных службах Active Directory, а тип сертификата
описан в шаблоне сертификата). Сведения для проверки подлинности
при запросах берутся из базы данных диспетчера учетных записей
безопасности на локальном компьютере.
- По умолчанию все запросы на сертификаты,
отправленные на автономный центр сертификации, помещаются в очередь
до тех пор, пока администратор автономного центра сертификации не
проверит отправленные данные и утвердит запрос. Администратор
должен выполнять эти задачи, потому что учетные данные
запрашивающей стороны не проверяются автономным центром
сертификации.
- Шаблоны сертификатов не используются.
- Администратор должен явно передать сертификат
автономного центра сертификации в доверенное корневое хранилище
пользователя домена, или пользователи должны выполнить эту задачу
самостоятельно.
- Если используется поставщик служб шифрования,
поддерживающий шифрование ECC, автономный центр сертификации будет
поддерживать любое использование ключа ECC. Дополнительные сведения
см. на веб-сайте, посвященном криптографии следующего поколения
(http://go.microsoft.com/fwlink/?LinkID=85480)
(может быть на английском языке).
При использовании автономным центром сертификации доменных служб Active Directory в центре сертификации появляются следующие функциональные возможности:
- Если член группы администраторов домена или
администратор с правом записи на контроллере домена устанавливает
автономный корневой центр сертификации, этот центр автоматически
добавляется в хранилище сертификатов доверенных корневых центров
сертификации для всех пользователей и компьютеров в домене. По этой
причине при установке автономного центра сертификации в домене
Active Directory нельзя изменять действие центра сертификации по
умолчанию при получении запросов на сертификаты (то есть помещение
запросов в очередь). В противном случае этот центр станет
доверенным корневым центром сертификации, который будет
автоматически выдавать сертификаты без проверки подлинности
запрашивающей стороны.
- Если автономный центр сертификации установлен
членом группы администраторов домена родительского домена в
организации или администратором, имеющим право на запись в доменных
службах Active Directory, автономный центр сертификации будет
публиковать свой сертификат центра сертификации и список отзыва
сертификатов в доменных службах Active Directory.